交换数据流(alternate data streams,以下简称ADS)也不是什么新东西,但用户和管理员对它的认识知之甚少,本文将结合前人的资料对ADS做一番探讨。如有错误,还望高手赐教。
2、概念
先来看看微软对多文件流的解释:
在 NTFS 文件系统下,每个文件都可以有多个数据流。值得一提的是,流不是 NTFS 2000 的功能,但是从 Windows NT 3.1 开始流已存在。当在非 NTFS 卷(如 Windows 98 计算机的磁盘分区)下读取文件内容时,只能访问一个数据流。因此,您会觉得它是该文件真正的且"唯一"的内容。这样的主流没有名称,并且是非 NTFS 文件系统可以处理的唯一一个流。但是当在 NTFS 卷上创建文件时,事情可能不一样。参看图 1 了解此重要概念。
【图1】
ADS是NTFS文件系统特有的性质,也就是前面说的多数据流文件除了主流之外的流,但基于API的Win32却不能很好的支持ADS。例如我们可以把一个文件以流的形式附加到另一个文件(载体)中,但是对于Windows资源管理器来说载体文件没有发生任何变化(包括其大小、修改时间等)。由此将会产生一系列问题。
下面就让我们来看看ADS的一些性质及应用吧。
3、性质和应用
3.1 创建
创建ADS很简单,语法是<载体文件名>:<ADS文件名>
看个命令行下面的例子:echo This is lake2's stream > a.txt:stream.txt
通过上面的例子我们就很简单的创建了一个ADS,它在windows下并不可见,不信你可以用资源管理器或者dir命令看看a.txt文件的大小是不是0。打开a.txt,可是里面什么内容都没有。当然没有内容,这里ADS是a.txt:stream.txt,内容应该在这个文件里。注意,这里用type命令并不能显示文件a.txt:stream.txt,但是记事本却可以。还是在命令行下输入notepad a.txt:stream.txt,呵呵,看到"This is lake2's stream"了吧。现在我们用记事本打开a.txt随便修改内容,这并不会影响到流的内容;同样,对a.txt:stream.txt的修改也不会影响到载体文件a.txt。
3.2 删除
删除ADS最为简单,直接删载体文件就是;但是如果只想删ADS而保留载体文件的话最简单的办法就是把载体文件拉到非NTFS分区去走一趟。因为ADS是NTFS的"专利",离开了NTFS文件系统ADS也就烟消云散了。
如果你只想在NTFS分区删除ADS的话,可以用下面这个批处理:
type a.txt > a.txt.bak
rem type不能支持ADS,所以拿它来备份载体
del a.txt
rem 删除载体及ADS
ren a.txt.bak a.txt
rem 恢复载体文件
3.3 检测与提取
关于ADS的检测涉及到API编程了,呵呵,这方面我还在努力学习,这里就抄微软的话:"Win32 备份 API 函数(BackupRead、BackupWrite 等)可用于枚举文件中的流"。
不过好在已经有检测ADS的软件了,下面几个软件都可以检测:
LADS (List Alternate Data Streams) - http://www.heysoft.de/nt/ntfs-ads.htm
Streams v1.1 (Sysinternals) - http://www.sysinternals.com/ntw2k/source/misc.shtml
NT Objectives Forensic Toolkit (sfind.exe) -(http://www.ntobjectives.com/)
要提取ADS必须要第三方工具,NTRootKit工具包里的cp可以做到(cp也可以用于创建流);NTRootKit工具包我一直没有找到,google上一搜全是那个NTRootKit后门,只好自己用C写了一个。这也不会要求你是编程高手,C语言里的文件函数完全可以支持ADS的创建、删除、提取,只需把ADS当成一个文件来处理就是了。
3.4 保存与传输
前面说了,ADS在非NTFS分区就会丢失,那么说来在非NTFS分区就无法保存ADS了吗?直接保存没有办法,我们可以间接保存啊。呵呵,这样需要借助一个软件,你也应该有的,它就是WinRAR。对含有ADS的文件加压时,找到高级选项,那里有一个"保存文件流数据",打上勾(图2),呵呵,你就可以把ADS压缩到rar文件里了。这个rar文件可以保存到非NTFS分区的——注意啊,是保存,不能解压出来的。
【图2】
如果要传输ADS,最好是用资源管理器打开对方的共享再复制粘贴;如果你想用其他方式传输的话大概就只能传输包含ADS的rar文件了。
3.5 信息隐藏
要保密信息,传统的做法是加密。虽然加密后信息内容变成了无法直接读出的密文,不过也等于告诉人家这是秘密,就不安全了;但是如果我把信息藏起来让你找不着不就ok了吗,所以一种叫做"信息隐藏"的技术就被提出来了。
古装戏里常常有隐写术,就是一张白纸在平时就是一张普通的白纸,但在特殊的作用下预先写好的字就会显示出来。用这个来比喻信息隐藏是最为恰当的了。信息隐藏是目前信息安全研究的热门领域,实现方法也很多,最流行的大概就是以bmp图像文件为载体,通过替换文件每个字节无关紧要的最低的一位来实现的。
呵呵,不过有一种实现简单的信息隐藏技术就在我们眼前。对,就是利用ADS!既然Windows不能很好的察觉ADS,那么我们就可以把要保密的文件以ADS方式保存。不过这里提醒一下,利用ADS实现信息隐藏的安全性不是很高,不过也不是很低——我想应该没有人没事就花大量时间用lads.exe检测着玩吧。
另外,大多数杀毒软件并不能检测ADS,所以我们可以利用流让杀毒软件pass后门。例:type nc.exe > a.txt:nc.exe
原文件nc.exe会被金山毒霸查出来,处理之后尽管a.txt:nc.exe内容与nc.exe完全一样,但并不会被金山毒霸发现。
3.6 运行
前面说了可利用ADS让后门躲避杀毒软件,但如果不能运行的话还不是没用。那怎么运行呢?
命令行下面直接运行a.txt:nc.exe是不行的,应该用start命令。关于这个命令的详细用法你自己打help start看看吧。
start命令运行可执行的ADS时要用绝对路径或者当前路径用./加文件名。看例子:start ./a.txt:nc.exe or start c:\a.txt:nc.exe
在Win2000下查看进程只能看到载体文件,而XP下则可以发现整个ADS。图3是在XP下用tlist的截图。
【图3】
3.7 与IIS相关
在IIS中访问ADS会有一些有趣的事情发生,这个参见我的另一篇Blog《交换数据流(ADS)与IIS的前世与今生》(http://blog.csdn.net/lake2/archive/2005/01/26/269659.aspx)。
4.附言
谢谢你看完我的文章 :)
5.参考文章
bigworm翻译,《NTFS不利的一面》(http://www.xfocus.net/articles/200212/466.html)
xundi,《关于NTFS文件系统中的数据流问题》(http://www.xfocus.net/articles/200103/81.html)
H. Carvey,《The Dark Side of NTFS》(_side.html" rel=nofollow>http://patriot.net/~carvdawg/docs/dark_side.html)
Damon Martin,《Windows, NTFS and Alternate Data Streams》(_Martin_GSEC.pdf" rel=nofollow>http://www.giac.org/practical/gsec/Damon_Martin_GSEC.pdf)
《NTFS Streams - Everything you need to know》(http://www.diamondcs.com.au/index.php?page=archive&id=ntfs-streams)